Проблема надежного хранения конфиденциальных данных беспокоит практически всех, кто активно использует компьютер в повседневной работе.


Игорь Макаров
Игорь Макаров
Все глубже проникают в бизнес технологии, которые делают сотрудников мобильными и тем самым позволяют значительно увеличить прибыльность компаний, а число корпоративных ноутбуков скоро может превысить количество стационарных рабочих мест. В свою очередь, это означает, что все больше конфиденциальной информации, хранящейся на компьютерах компаний и государственных учреждений под надежным присмотром ИТ-персонала и офицеров безопасности, покидает физические пределы этих организаций на ноутбуках сотрудников. Однако, как показывает статистика, одновременно с этим возрастают риски потери коммерческой информации.

Утечка информации может произойти по целому ряду причин. Наиболее распространенные среди них — умышленная кража с целью получения доступа к стратегической конфиденциальной информации конкурента и простая рассеянность, по причине которой ноутбуки с критически важными данными остаются забытыми в общественных местах. Именно поэтому надежная защита данных становится все более актуальной темой в свете распространения мобильных технологий. Для примера, в 2001 году во всем мире 591 тыс. ноутбуков было украдено либо утеряно, что на 53% больше по сравнению с предыдущим годом. Последствия потери переносного компьютера могут быть ощутимыми, но не критическими. А вот стоимость информации, которая хранилась на жестком диске утерянного компьютера, иногда может исчисляться миллионами долларов. Примером может послужить случай, произошедший в 2000 году на одном из дочерних предприятий компании IBM, где пропал диск, на котором хранились базы данных клиентов нескольких компаний. Потеря жесткого диска, стоимостью в 100 долларов США привела к прямым потерям 500 тыс. долларов США, но, по мнению экспертов, эта цифра поблекнет в сравнении со стоимостью судебных издержек, ожидающих компанию в будущем в связи с утерей личных данных клиентов.

В наше время существует множество программ для шифрования данных, а также защитных функций, встроенных непосредственно в операционную систему. Часто используется установка пароля на ATA-интерфейс с помощью BIOS, но эти методы защиты данных на компьютере не могут в полном объеме удовлетворить требования современных компаний, для которых потеря конфиденциальной информации одного из рабочих компьютеров может быть равнозначна потере бизнеса. Новая технология аппаратного шифрования информации Hardware-Based Full Disc Encryption (FDE), впервые представленная компанией Seagate Technology, концептуально отличается от ставших традиционными способов защиты информации.

Основное отличие от программных методов защиты, заключается в том, что технология FDE автоматически шифрует абсолютно все данные, поступающие в компьютер для записи на диск, включая даже информацию для разметки диска и системные файлы. Абсолютно любая информация, записываемая на диск, защищается алгоритмом TDEA или 3DES, использующим три 64-битных ключа для шифрования-дешифрации-шифрования (именно так выглядит последовательность работы алгоритма). Каждая операция использует свой ключ. Таким образом, процесс шифрования производится перед тем, как информация превращается в биты магнитных доменов в записывающем слое диска. Жесткий диск является идеальной точкой для реализации аппаратного шифрования данных. По сути, винчестер является завершенной компьютерной системой в миниатюре, включающей в себя специализированный микропроцессор, модуль памяти, многозадачную операционную систему, которая воплощена в виде микрокода прошивки. Но и конечно, именно здесь хранятся данные, которые необходимо защитить, что позволяет избежать использования внешних интерфейсов, особо уязвимых от физических атак злоумышленника. К тому же, вычислительная платформа жёсткого диска не является открытой, как платформа ПК. Жесткий диск обладает уникальной, свойственной только ему, архитектурой, данные о которой держат в секрете производители, они не являются доступной информацией, в противоположность архитектуре персональных компьютеров.

Концептуальная разница с традиционными методами шифрования — работа FDE абсолютно не зависит от операционной системы, что позволяет избежать уязвимых мест, свойственных программным методам защиты. Шифруя отдельные файлы с помощью программного обеспечения, пользователь не обеспечивает полной защиты информации на своем жестком диске, так как у злоумышленника остается возможность восстановить часть или даже целые файлы из временных каталогов или резервных копий, которые могут создаваться приложениями, работающими с этими файлами. Дело в том, что программы шифрования данных работают с каталогами, определенными пользователем и, как правило, не имеют права шифровать системные файлы. А поскольку приложения часто создают временные копии рабочих файлов в каталогах, недоступных для шифрования, сбой в работе приложения или неожиданное отключение питания компьютера может привести к тому, что временная копия файла так и останется на жестком диске. И найти ее для опытного взломщика — дело нескольких минут. Исследования показывают, что при наличии физического доступа к жесткому диску с важной информацией, защищенной с помощью пароля на ATA-интерфейс или же специальной программы,
Seagate Momentus 5400.3 — первый жесткий диск для ноутбуков с технологией FDE, дошедший до фазы массового производства
Seagate Momentus 5400.3 — первый жесткий диск для ноутбуков с технологией FDE, дошедший до фазы массового производства
определить шифровальные ключи и взломать диск не составляет особого труда. Причина в том, что как пароли ATA, так и программное шифрование данных имеют серьезный недостаток — их защита основана на шифровальном ключе, который сам расположен на жестком диске. Технология FDE уникальна тем, что ключи, необходимые для расшифровки данных, никогда не хранятся на жестком диске. Ни один взломщик жесткого диска не сможет определить ключ доступа — на самом жестком диске он просто отсутствует. Технология программного шифрования данных хранит открытые ключи доступа на микросхемах ASIC на плате контроллера диска, где также расположен загружающий для шифрования данных буфер памяти. Таким образом, вся необходимая для загрузки системы информация берется из пароля, что делает невозможным анализ жесткого диска. Этот вид защиты делает исключает возможность загрузки операционной системы с дискеты или при помощи программы для взлома, а шифрование сектора за сектором делает невозможным копирование важных файлов для грубых атак, описанных выше.

К сожалению, статистика похищения конфиденциальной информации постоянно ухудшается. Около 72% всех незаконных операций с похищенными кредитными карточками произошли, как это ни удивительно, не из-за кражи данных через интернет, а именно из-за утерянных компьютеров. Именно поэтому надежная защита коммерческой и личной информации на переносных компьютерах так необходима. Концепция аппаратного шифрования диска, воплощенная в коммерческой технологии FDE, превращает жесткий диск в обычный кусок железа для человека, не знающего кода доступа. А это значит, что ноутбук становится все менее уязвимым для потери данных и может по праву считаться полноценным рабочим местом, позволяющим заниматься делами компании как непосредственно в офисе, так и за его пределами, не опасаясь, что информация, критически важная для бизнеса, попадет в сторонние руки.
 
С Игорем Макаровым, техническим специалистом компании Seagate, можно связаться по адресу Igor.N.Makarov@seagate.com

Технические характеристики жесткого диска Momentus 5400 FDE
Модель
Momentus 5400 FDE
Momentus 5400 FDE.2
Шифрование
TDEA, 192-бит
AES
Возможная емкость модели, ГБ
40, 60, 80, 100, 120
60, 80, 160
Интерфейс
UltraATA/100
SerialATA 1,5 Гбит/с
Скорость передачи данных (МБ/сек)
57,6
н/д
Объем кеш-памяти, МБ
8
Средний поиск, мс
12,5
Скорость вращения шпинделя, об/мин
5400
Кол-во дисков/головок
2/4 (120 ГБ)
2/4 (160 ГБ)
Байт на сектор
512
Выдерживаемая величина механического стресса в нерабочем состоянии
900 g
Уровень акустического шума, дБ
23